A segurança é essencial para manter o Snipp seguro para todos, e contamos com pesquisadores para nos ajudar a encontrar e corrigir vulnerabilidades rapidamente. Se você descobriu um problema de segurança, queremos saber. Agradecemos cada divulgação responsável, boa caçada!
Nunca tomaremos medidas legais contra quem reportar vulnerabilidades de boa-fé e seguir as diretrizes desta página.
Nosso objetivo é confirmar cada relatório em até 48 horas e manteremos você atualizado durante todo o processo de resolução.
Dependendo da gravidade e do impacto da sua descoberta, você pode ser elegível para um selo de perfil exclusivo e meses gratuitos da nossa assinatura PLUS.
Pesquisadores que fizerem contribuições significativas para a segurança do Snipp podem ganhar selos de perfil exibidos publicamente em sua conta.
Concedido pelo seu primeiro relatório de vulnerabilidade válido. Reconhece os pesquisadores que ajudam a tornar o Snipp mais seguro.
Concedido após 3 a 5 relatórios excepcionais ou uma única descoberta crítica. Reservado para pesquisadores ativos que descobrem os problemas de maior impacto.
Todos os testes devem ser realizados em suas próprias contas. Nunca interaja com os dados ou contas de outros usuários nem os afete.
Apenas serviços operados pelo Snipp estão no escopo. Relatórios que visam plataformas de terceiros, mesmo as integradas pela nossa API, não serão aceitos.
Evite qualquer atividade que possa degradar nossos serviços ou comprometer a integridade dos dados. Isso inclui ataques de força bruta, DoS, spam e ataques baseados em tempo.
Ferramentas de varredura automatizadas não são permitidas. Todos os testes devem ser feitos manualmente.
Podemos excluir temporariamente certas classes de vulnerabilidades do escopo enquanto as tratamos internamente. Quaisquer alterações serão refletidas nesta página.
Por favor, mantenha todas as descobertas confidenciais até que tenhamos investigado e resolvido completamente o problema.
A divulgação responsável é a melhor maneira de nos ajudar a corrigir problemas rapidamente, minimizando o risco. Quando você reporta diretamente para nós, podemos começar a trabalhar em uma correção imediatamente sem expor a vulnerabilidade a agentes mal-intencionados.
Descobertas compartilhadas publicamente antes de termos a chance de tratá-las, seja em redes sociais, fóruns ou em qualquer outro lugar, não serão elegíveis para o reconhecimento com selo. Queremos dar crédito às pessoas que nos dão a oportunidade de corrigir as coisas primeiro.
Se várias pessoas reportarem o mesmo problema, avaliaremos os envios com base em:
Clareza da explicação técnica
Quão bem o relatório transmite o impacto no mundo real
Carimbo de data e hora do envio
Agradecemos sinceramente a cada pesquisador que dedica seu tempo para ajudar a tornar o Snipp mais seguro.
Antes de enviar, pense se o problema tem um cenário de ataque realista e um impacto de segurança significativo. Os seguintes itens geralmente são excluídos:
Enumeração de contas
Ataques que exigem MITM ou acesso físico ao dispositivo de um usuário
Clickjacking
Falsificação de conteúdo e injeção de texto
Vulnerabilidades de CSRF
Registros SPF, DKIM e DMARC de e-mail
Flags de cookie HttpOnly/Secure ausentes
Cabeçalhos CORS abertos
Limitação de taxa
Relatórios de scanners e ferramentas automatizadas
Autoexploração (como reutilização de token e scripts no console)
Ataques de engenharia social ou phishing direcionados a usuários ou à equipe
Serviços externos, parceiros e integrações estão fora do escopo deste programa. Apenas vulnerabilidades em recursos e APIs de propriedade do Snipp se qualificam. Os relatórios devem demonstrar um impacto de segurança claro para o próprio Snipp.
Qualquer cenário em que um invasor possa obter as chaves de API, os tokens de sessão ou as credenciais de outro usuário sem recorrer à engenharia social é considerado dentro do escopo.
Falhas reproduzíveis no site causadas por entradas manipuladas ou pela interação normal do usuário são consideradas dentro do escopo, desde que não dependam de esgotamento de recursos, spam ou outras técnicas de negação de serviço.
Relatórios que dependem da exploração de uma condição de corrida precisam de evidências adicionais para serem aceitos. Inclua pelo menos um dos seguintes itens:
Um script reproduzível (Python ou JavaScript de preferência, embora outras linguagens também sejam aceitas)
Uma descrição detalhada cobrindo os métodos HTTP, os endpoints e a ordem exata das requisições necessária para acionar a condição
Incluir um script torna muito mais fácil para nós verificar o problema e acelera o processo de revisão.
Envie-nos um e-mail com uma descrição clara do problema, as etapas para reproduzi-lo e quaisquer evidências de apoio. Responderemos o mais rápido possível.